256 votes

Utilisateur non enregistré avatar

Une valeur de Request.Path potentiellement dangereuse a été détectée chez le client (*)

Demandé el 11 de Mai, 2011
Quand la question a-t-elle été
341180 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je reçois l'erreur plutôt explicite suivante :

Une valeur Request.Path potentiellement dangereuse a été détectée du client (*).

Le problème est dû à * dans l'URL de la requête :

https://stackoverflow.com/Search/test*/0/1/10/1

Cette URL est utilisée pour peupler une page de recherche où 'test*' est le terme de recherche et le reste de l'URL concerne différents filtres.

Y a-t-il un moyen facile d'autoriser ces caractères spéciaux dans l'URL ? J'ai essayé de modifier le web.config, en vain.

Dois-je encoder / décoder manuellement les caractères spéciaux ? Ou existe-t-il une bonne pratique pour le faire, je préférerais éviter d'utiliser des chaînes de requête - mais cela pourrait être une option.

L'application elle-même est une application webforms c# asp.net qui utilise le routage pour produire le joli URL ci-dessus.

Demandé el 11 de Mai, 2011 par Utilisateur non enregistré

1 votes

Avatar de Neil Knight

Votre page a-t-elle ValidateRequest=false en haut?

Commenté el 11 de Mai, 2011 par Neil Knight

0 votes

Avatar de Rasik Bihari Tiwari

Je ne sais pas pour quelle raison le site Web essayait intérieurement une redirection qui créait une URL comme 'localhost/://localhost/myWebsiteName' qui me donnait la même erreur. Je ne sais pas pourquoi le pipeline ASP.net considère cela comme une URL de demande dangereuse.

Commenté el 28 de Septembre, 2016 par Rasik Bihari Tiwari

Réponses

Trop de publicités?

352voto

Dave Transom avatar
Dave Transom Points 1338

Si vous utilisez .NET 4.0, vous devriez pouvoir autoriser ces URL via le fichier web.config

Remarque, j'ai simplement supprimé l'astérisque (*), la chaîne par défaut d'origine est :

Voir cette question pour plus de détails.

Répondu el 21 de Décembre, 2011 par Dave Transom (1338 Points )

6 votes

Avatar de longda

Y a-t-il un moyen de le faire en utilisant un attribut MVC sur une action pour ne pas avoir à le désactiver pour l'ensemble de l'application ? Similaire à cette réponse ici: stackoverflow.com/a/1540976/298758

Commenté el 31 de Mai, 2013 par longda

6 votes

Avatar de Dave Transom

@longda: Peut-être essayer d'envelopper cela avec un élément pour l'URL dont vous avez besoin. Utiliser la réflexion serait raisonnablement simple d'un point de vue global, mais je ne suis pas sûr de le configurer sur une base par contrôleur/action. Peut-être commencer une question?

Commenté el 31 de Mai, 2013 par Dave Transom

0 votes

Avatar de QMaster

Il ne fonctionne tout simplement pas sur le projet ASP.net MVC, en recevant l'exécution du processus pour déterminer la mise en page dans viewStart, j'ai obtenu cette erreur : Caractère illégal dans le chemin.

Commenté el 20 de Avril, 2018 par QMaster
Afficher 1 autres commentaires

106voto

Guffa avatar
Guffa Points 308133

Le caractère * n'est pas autorisé dans le chemin de l'URL, mais il n'y a aucun problème à l'utiliser dans la chaîne de requête :

http://localhost:3286/Search/?q=test*

Il ne s'agit pas d'un problème d'encodage, le caractère * n'a pas de signification spéciale dans une URL, donc il n'importe pas si vous l'encodez ou non. Vous auriez besoin de l'encoder en utilisant un autre schéma, puis de le décoder.

Par exemple en utilisant un caractère arbitraire comme caractère d'échappement :

query = query.Replace("x", "xxx").Replace("y", "xxy").Replace("*", "xyy");

Et décoder :

query = query.Replace("xyy", "*").Replace("xxy", "y").Replace("xxx", "x");
Répondu el 11 de Mai, 2011 par Guffa (308133 Points )

17 votes

Avatar de Yorye Nathan

Le jeu "xxx" "xxy" "xyy" est plutôt ingénieux. Vous voudrez peut-être expliquer la logique derrière cela afin de ne pas confondre les lecteurs.

Commenté el 28 de Août, 2014 par Yorye Nathan

3 votes

Avatar de Hugo Delsing

La demande était de l'utiliser dans le PATH et non dans la chaîne de requête.

Commenté el 16 de Mars, 2015 par Hugo Delsing

0 votes

Avatar de SpokaneDJ

Je suis tombé sur le même scénario où l'un de mes paramètres était une URL. Même lorsqu'il est correctement encodé en URL, j'obtenais cette erreur. J'ai finalement encodé en base64 le paramètre (et décodé dans mon API) ce qui était beaucoup plus facile que d'essayer de comprendre ce qu'il se passait. Probablement un meilleur choix que de mettre en œuvre votre propre routine de remplacement également.

Commenté el 16 de Septembre, 2016 par SpokaneDJ
Afficher 3 autres commentaires

13voto

MNF avatar
MNF Points 307

Pour moi, je travaille sur .net 4.5.2 avec web api 2.0, J'ai la même erreur, je l'ai réglée simplement en ajoutant requestPathInvalidCharacters="". Dans requestPathInvalidCharacters, vous devez définir les caractères non autorisés, sinon vous devez supprimer les caractères qui causent ce problème.

     ....

**Remarquez que ce n'est pas une bonne pratique, peut-être qu'une publication avec ce paramètre en tant qu'attribut d'un objet est meilleure ou essayez d'encoder le caractère spécial. -- Après avoir recherché les meilleures pratiques pour la conception d'une API REST, j'ai découvert que pour la recherche, le tri et la pagination, nous devons gérer les paramètres de requête comme ceci

/companies?search=Digital%26Mckinsey

et cela résout le problème lorsque nous encodons & et le remplaçons dans l'URL par %26. De toute façon, sur le serveur, nous recevons le paramètre correct Digital&Mckinsey

ce lien peut aider sur les meilleures pratiques de conception d'une API Web REST https://hackernoon.com/restful-api-designing-guidelines-the-best-practices-60e1d954e7c9

Répondu el 27 de Mars, 2018 par MNF (307 Points )

0 votes

Avatar de Anders Lindén

Je pense que c'est une bonne pratique de le faire en fait. La protection contre les entrées incorrectes devrait être dans le code.

Commenté el 22 de Janvier, 2022 par Anders Lindén

9voto

Tejs avatar
Tejs Points 23834

Vous devriez encoder la valeur de la route, puis (si nécessaire) décoder la valeur avant de rechercher.

Répondu el 11 de Mai, 2011 par Tejs (23834 Points )

0 votes

Avatar de Utilisateur non enregistré

Merci pour votre réponse. Voulez-vous dire effectivement faire un remplacement sur des éléments tels que * et ensuite les remplacer en les lisant à nouveau?

Commenté el 11 de Mai, 2011 par Utilisateur non enregistré

0 votes

Avatar de Ciaran Gallagher

Pouvez-vous montrer un exemple de code pour encoder et décoder les valeurs?

Commenté el 28 de Septembre, 2018 par Ciaran Gallagher

2voto

trykyn avatar
trykyn Points 323

Pour moi, en tapant l'URL, un utilisateur a accidentellement utilisé un / au lieu d'un ? pour démarrer les paramètres de la requête

par exemple :

url.com/endpoint/parameter=SomeValue&otherparameter=Another+value

qui aurait dû être :

url.com/endpoint?parameter=SomeValue&otherparameter=Another+value

Répondu el 8 de Août, 2019 par trykyn (323 Points )

0 votes

Avatar de Bhargav Konda

Oui, même pour moi

Commenté el 26 de Septembre, 2019 par Bhargav Konda

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X